KİŞİSEL VERİLERİN KORUNMASI HUKUKU BÜLTENİ 3. SAYI

Güncelleme tarihi: Ağu 27



KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI


Veri İhlali Gerçekleşen Zynga Game Şirketine Kurum Tarafından İdarı Para Cezası Kararı Verildi.

Veri sorumlusu sıfatını haiz olan Zynga Game Ireland Limited tarafından KVK Kurumu’na gönderilen 23.09.2019 tarihli yazıda veri ihlali bildirimi yapılmıştı. Konuya ilişkin gerekli incelemeler yapıldıktan sonra Kurul 16.4.2020 tarih ve 2020/286 sayılı kararında veri güvenliğine yönelik gerekli tedbirleri almadığı gerekçesiyle 1.000.000 TL; “en kısa sürede” veri ihlali bildiriminde bulunmadığı gerekçesiyle 100.000 TL idari para cezasına hükmetti. (1)


Türkiye Ekonomi Bankası’na 1 Milyon Liralık Ceza

KVKK uyarınca veri sorumlusu sıfatını haiz Türk Ekonomi Bankası A.Ş (TEB) 8.7.2019 tarihinde KVK Kurumu’na KVKK madde 12 fıkra 5 uyarınca veri ihlali bildiriminde bulunmuştu. Gerekli incelemelerin ardından Kurul, 5.5.2020 tarih ve 2020/344 sayılı kararı ile 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasına uygun olarak gerekli teknik ve idari tedbirleri almadığı gerekçesiyle TEB hakkında madde 18 (1) (b) uyarınca 1.000.000 TL idari para cezası uygulanmasına hükmetti. (3)


“Bir Şahıs Tarafından Vekaleten İntikal Ettirilen Usulen Eksik Nitelikteki Çok Sayıda Başvuru başlıklı 30/04/2020 tarihli ve 2020/325 Sayılı kararda; bir grup kişi ve kişiler adına vekaleten başvuran ve başvurmaya devam eden şahsın, adına başvuru yaptığı kişilerin özel bilgilerinin Avrupa ülkeleri ile paylaşılmasından tedirgin olmalarından ötürü dilekçelerinin dikkate alınması ve ilgili kişilerin emeklilikleri hakkında kendileri ve vekil tayin ettiği kişiler dışında kimseye bilgi verilmemesini sürekli bir biçimde Kurum’dan talep ettiği; ancak Kurumca kendisinin öncelikle veri sorumlusu sıfatını haiz T.C. Aile, Çalışma ve Sosyal Hizmetler Bakanlığı Sosyal Güvenlik Kurumuna başvurmaları gerektiğinin açıklanmasına rağmen, ilgili kişiler adına vekaleten başvuruda bulunmaya devam eden şahsın bu başvurular sayesinde vekili olunan kişiler lehine bir durum yaratıyormuş gibi gözükmek suretiyle ilgili kişilerden vekalet sözleşmesi adı altında haksız kazanç sağlayabileceği ve bunun da Türk Ceza Kanunu kapsamında suç teşkil edebileceği ifade edilmiştir. Kurul kararında bundan sonra benzer veya aynı nitelikteki başvuruların dikkate alınmayacağı belirtmiştir.


KİŞİSEL VERİLERİ KORUMA KURULU DUYURULARI


Kurum Tarafından Aydınlatma Yükümlülüğü Yerine Getirilirken Dikkat Edilmesi Gereken Hususlar Yayınlandı

KVK Kurumu’na yapılan ihbar ve şikayet başvuruları üzerine ilgili veri sorumlularınca Kurum’a iletilen bilgi ve belgeler üzerinden veya Kurulca inceleme ve araştırma yapılması öngörülen diğer dokümanlar üzerinden yapılan değerlendirme sonucunda Kurul’un yayınladığı aydınlatma yükümlülüğü yerine getirilirken dikkat edilmesi gereken hususlara kaynakçadaki linkten (2) ulaşabilirsiniz.


Kurum Tiktok Üzerine İnceleme Başlattı

Kişisel Verileri Koruma Kurulu TikTok hakkında resen inceleme başlattı. Kurul’un özellikle son günlerde basında da yer alan TikTok’un veri güvenliği açıklarına ilişkin haberler ve yapılan ihbarlar üzerine resen inceleme kararı aldığı belirtildi.


KİŞİSEL VERİ KORUMASINA İLİŞKİN AB’DEN KARARLAR

  • Norveç Veri Koruma Otoritesi (Datatilsynet) 8 Temmuz 2020’de COVID-19 kapsamında kullanılan konum izleme uygulamasının geçici olarak yasaklanmasına karar verdi. Söz konusu kararda gerekçe olarak uygulamanın veri minimizasyonu ilkesiyle çelişmesi gösterildi.

  • Hollanda Veri Koruma Otoritesi (Autoriteit Persoonsgegevens), 6 Temmuz 2020 tarihinde, veri sahiplerinin erişimine ve denetimlerine izin vermeden önce belirli engeller koyduğu gerekçesiyle Kredi Kayıt Ofisi’ne (Bureau Krediet Registration) 830.000 Euro ceza kesti. Söz konusu ofisin, bireylerin verilerine erişim talep etmeleri halinde bir ücret ödemesini istemiş olmasının yanı sıra, kişilerin posta yoluyla yılda yalnızca bir kez ücretsiz olarak verilerine erişmesine izin verdiğini ifade etti.

  • İzlanda Veri Koruma Otoritesi (‘Persónuvernd’) 30 Haziran 2020 tarihli kararında Arion Bank’ın Facebook hesaplarında ebeveynlerin rızasını almadan çocukların fotoğraflarını yayınlaması nedeniyle Avrupa Veri Koruma Tüzüğü’nü (GDPR) ve 90/2018 sayılı Yasa’yı (Gizlilik ve Kişisel Verilerin İşlenmesi Yasası) ihlal ettiğine karar verdi.

  • Danimarka Veri Koruma Otoritesi (‘Datatilsynet’) 30 Haziran 2020’de TikTok Inc. hakkında GDPR’a uyumluluk konusunda soruşturma başlattığını duyurdu. Özellikle TikTok’un GDPR kapsamında özel koruma hakkı olan çocuklarla ilgili kişisel verileri nasıl işlediğini araştırdığını vurguladı. Buna ek olarak Datatilsynet, TikTok’un uyguladığı güvenlik önlemlerini de araştırdığını belirtti.


HABERLER


EDRi’den IBM’e Açık Mektup

25 Haziran’da EDRi (European Digital Rights), ABD’de ırk eşitliği ve yüz tanıma teknolojileri hakkında 8 Haziran’da yaptığı açıklamalara yanıt olarak IBM CEO’suna açık bir mektup gönderdi. EDRi, IBM’den, genel amaçlı yüz tanımayı sonlandırma konusundaki kararlılıkları nedeniyle neyin değişeceği hakkında daha fazla bilgi vermesini istedi


Malta’da Seçmen Verilerinin Sızması Sonrası Sivil Toplum Kuruluşları Harekete Geçti

Mart 2020’nin sonunda, Malta nüfusunun çoğunluğunun oy tercihlerini, adreslerini, telefonlarını ve doğum tarihlerini gösteren seçmen listesinin sızdırılmasından sonra sivil toplum kuruluşu NOYB tarafından toplu davalarda “Daphne Foundation ve Repubblika’ya” yardımcı olunacağı ve AB üye devlerine veri ihlali ile ilgili şikâyette bulunulacağı ifade edildi.


Yargıtay kişisel verilerin korunması hakkında karar verirken kararda mağdurun verilerini silmeyi unuttu.

İstanbul Barosu Kişisel Verilerin Korunması Komisyonu Başkanı Avukat Hasan Selçuk Turan sosyal medyada yaptığı açıklamada Yargıtay’ın Kişisel Verilerin Korunması Kanunu’na atıf yaptığı bir kararında, mağdurun adını, kızlık soyadını, yeni soyadını, yaşadığı şehri, arkadaşının adını silmeyi unuttuğunu bu nedenle şahsın ikinci kez mağdur edildiğini ifade etti.


Rusya Protestocuların Kimliğini Tespit Etmek İçin Kişilerden İzinsiz Yüz Tanıma Sistemi Kullandı

Human Rights Watch (İnsan Hakları İzleme Örgütü), Avrupa İnsan Hakları Mahkemesi’ne Rusya’nın Eylül 2019 protestosu sırasında yüz tanıma teknolojisi kullanmasıyla ilgili olarak başvuru yapıldığını açıkladı. İddialar, Rus hükümetinin Moskova’daki mitinge katılan yaklaşık 20.000 protestocunun fotoğraflarını toplamak için yüz tanıma teknolojisinin kullanmasından kaynaklanıyor. Şikayetçiler, rıza göstermeden yüz tanıma görüntülerinin toplanmasının Rus yasalarına göre gizlilik haklarını ihlal ettiğini söyledi.


KAYNAKÇA

https://www.kvkk.gov.tr/Icerik/6763/2020-286 (1)

https://www.kvkk.gov.tr/Icerik/6765/AYDINLATMA-YUKUMLULUGUNUN-YERINE-GETIRILMESI-HAKKINDA-KAMUOYU-DUYURUSU (2)

https://www.kvkk.gov.tr/Icerik/6764/2020-344 (3)

YAZAR

Bilgi Teknolojileri Ekibi